2012年10月31日

個人情報の入力画面で同意を得る内容は「個人情報保護方針」ではない

プライバシーマークの認定を受けている会社は、ウェブサイトなどで個人情報を取得する場合、その個人情報の利用目的などを明示して本人から同意を得る必要があります。

この明示する内容を「個人情報保護方針」としている会社が意外と多く、プライバシーマーク的には正しくないです。(サイトの作り方により例外はあります。)

理由は、ウェブサイトで個人情報を取得する場合は、JISの「3.4.2.4 本人から直接書面によって取得する場合の措置」に従って、同箇条のa)〜h)を示す必要があり、この内容は個人情報の取得の状況ごとに異なるからです。(例えば、お問い合わせ用の画面の利用目的とスタッフ募集用の画面の利用目的は異なるでしょう。)

一方で、「個人情報保護方針」は、1法人1文書ですので、全体的なことしか記述されていません。

したがって、「個人情報保護方針」内容を示しても、JIS 3.4.2.4のa)〜h)を示したことにはなりません。

同様に、その会社で扱っている全ての個人情報の利用目的を示したページを示して同意を得ているケースも正しくありません。

なぜなら、個人情報を取得する場合に示す利用目的は、「その個人情報」の利用目的だからです。例えば、お問い合せフォームであれば「お問い合わせに適切に対応するため」というのがそこで示されるべき利用目的でしょう。その利用目的の他に「採用業務を適切に遂行するため」とか「伝票の印刷・発送サービス等の情報処理サービスを受託業務として行うため」などということも書かれてあって、それにも同意しなくてはならないとしたら合理的ではないでしょう。

プライバシーマークの認定を受けた直後は正しくできていたのかもしれませんが、サイトを改修したり、会社が合併したり、担当者が変わったりしてうまくフォローできていないのかもしれません。

プライバシーマークの更新認定の際にはしっかり確認され、正しくできていなければ指摘を受けますので、心配な方は今一度ご確認されることをお勧めします。
posted by endo at 12:08| Comment(0) | TrackBack(0) | 日記
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/59683203

この記事へのトラックバック